Qu’est-ce qu’un mot de passe en clair et pourquoi est-ce une mauvaise idée ?

En juillet 2024, l’affaire RockYou2024 éclate : la plus grande compilation de mots de passe piratés de l’histoire, comprenant plus de 10 milliards d’identifiants uniques, est apparue sur un forum connu des milieux cybercriminels. Le fichier, stocké en texte clair, contenait des données récupérées lors de nombreux piratages au fil des ans.

Les fichiers en texte clair représentent un risque considérable pour la sécurité des données. Mais il n’y a pas que les fichiers repérés sur les forums de discussion Tor qui contiennent des documents en clair : de nombreuses entreprises s’en servent pour stocker leurs informations stratégiques. Parlons donc des fichiers en clair et des raisons pour lesquelles votre entreprise devrait opter pour une solution chiffrée.

Que signifie « texte en clair » ?

Le terme « texte en clair » n’est pas seulement un terme de cybersécurité. Il s’agit de tout fichier auquel il est possible d’accéder sans étape de protection particulière. Pensez à un document Word ou à une feuille de calcul dont l’accès ne nécessite pas de clé spécifique. Le terme est un peu plus spécifique en cryptographie, où le terme « texte en clair » fait référence à un message avant qu’il ne soit chiffré et qui est visible par n’importe qui en dehors du destinataire ou de l’expéditeur prévu.

Lors du chiffrement, un algorithme est utilisé pour brouiller le contenu du message et le transformer en une chaîne de caractères inintelligible appelée texte chiffré. Pour déverrouiller le texte chiffré et le retransformer en texte lisible, vous devez avoir accès à une clé de chiffrement. Le chiffrement d’un message en clair permet de protéger son contenu contre un accès non autorisé.

Les entreprises et les administrations utilisent de plus en plus le chiffrement pour les communications internes et externes, les opérations financières et le stockage de fichiers. Le chiffrement joue également un rôle clé dans l’authentification, car il permet de confirmer l’identité d’une personne sans révéler d’informations sensibles.

Les dangers des mots de passe en clair

Malheureusement, les documents en clair restent la solution la plus accessible pour stocker des mots de passe et d’autres informations professionnelles sensibles. Ils sont généralement gratuits ou peu coûteux par rapport aux logiciels de chiffrement. Il n’est pas rare que les employés partagent une feuille de calcul contenant les identifiants de connexion les plus fréquemment utilisés ou qu’ils envoient des mots de passe par e-mail, ces deux méthodes étant en texte clair.

L’inconvénient est facilement compréhensible. Si les employés n’ont besoin d’aucune authentification pour consulter des données sensibles, il est tout aussi facile pour des tiers, qu’ils soient autorisés ou non, d’obtenir des identifiants de connexion. Ces entreprises deviennent une cible facile pour les cybercriminels qui n’ont besoin que d’un seul fichier pour déverrouiller tous les comptes stratégiques.

Les données de connexion ne sont pas les seules à pouvoir être dérobées dans des fichiers en clair. Les informations sur les employés et les clients, les données d’identification, les numéros de sécurité sociale, les informations bancaires : tout ce qui est stocké en clair risque de faire l’objet d’une fuite de données. Les fichiers en clair n’apportent pas beaucoup plus de sécurité qu’un mot de passe griffonné sur un bloc-notes et laissé sur la table de la cuisine commune de l’entreprise. Il s’agit d’une cible facile, avec une belle récompense à qui s’en emparera.

Quelles sont les alternatives ?

Le stockage de données en clair peut constituer une sérieuse menace pour la sécurité des organisations. Le piratage d’informations facilement accessibles peut avoir une incidence à tous les niveaux de l’entreprise, des employés aux clients. Il est impératif de trouver des alternatives qui donnent la priorité à la protection des données.

Nous y avons fait allusion au début de cet article : le chiffrement est indispensable pour protéger les informations en clair d’une divulgation non désirée. Toutefois, le passage d’un stockage en texte clair à un stockage en texte chiffré ne doit pas compliquer le processus d’accès. En fait, les méthodes d’authentification peuvent se résumer à l’utilisation d’une empreinte digitale sur un appareil personnel.

Commençons par le partage des identifiants de connexion de l’entreprise. Ils peuvent constituer un énorme frein au flux de travail et à la productivité. Qui a utilisé les identifiants de connexion en dernier et doit-il se déconnecter pour qu’une autre personne puisse accéder au service ? Le mot de passe d’un document partagé est-il le plus récent ou est-ce l’ancien ? Quelqu’un a-t-il accidentellement supprimé une ligne contenant des données de connexion, ou le compte n’était-il pas disponible à l’origine ? Ces problématiques peuvent être facilement résolues en adoptant une solution de gestion des mots de passe plus sûre.

Un gestionnaire de mots de passe permet aux organisations de stocker et de partager les identifiants de connexion de l’entreprise sans avoir recours à la documentation en clair. La plupart du temps, l’outil utilise le chiffrement AES-256 ou XChaCha20 pour sécuriser les données et garantir un accès strictement autorisé. Outre les mots de passe, les membres de l’organisation peuvent stocker des informations telles que des adresses, des coordonnées bancaires et des numéros d’identification.

Toutefois, les fonctionnalités des gestionnaires de mots de passe professionnels se limitent rarement à un simple stockage chiffré. Prenez NordPass, par exemple. Outre le coffre-fort chiffré XChaCha20, le service offre des outils de sécurité avancés tant pour les administrateurs de sécurité que pour les employés ordinaires.

Si votre organisation applique l’authentification à deux facteurs, NordPass la facilite grâce à son outil d’authentification. Cette fonction intégrée permet aux employés de stocker et de générer des mots de passe à usage unique basés sur le temps (TOTP) directement dans leur coffre-fort NordPass, sécurisant et simplifiant ainsi l’accès à la connexion.

Le panneau d’administration est un espace centralisé dans lequel les organisations créent des politiques de sécurité et observent l’activité de tous les comptes. NordPass est équipé d’intégrations telles que Vanta et Splunk pour gérer efficacement les flux de travail et créer une documentation prête à être auditée.

L’outil Analyse des fuites de données offre une double protection. Il surveille tous les domaines de l’organisation afin de détecter une éventuelle apparition de ces informations sur le dark web et permet également aux employés de vérifier que leurs propres identifiants de connexion n’ont pas été victimes de ces fuites de données.

Comme vous pouvez le constater, la mise en place d’un gestionnaire de mots de passe ne se limite pas à restreindre l’utilisation non sécurisée d’identifiants de connexion en clair au sein de votre organisation. L’outil peut contribuer à renforcer vos politiques générales de sécurité et aider votre entreprise à réagir rapidement en cas de fuite de données inattendue.

Les bonnes pratiques en matière de sécurité des mots de passe

Les e-mails contenant des mots de passe en clair ayant été supprimés et les feuilles de calcul partagées ayant été abandonnées, voici ce que vous pouvez faire pour mettre en place une gestion sécurisée des identifiants de connexion au sein de votre organisation.

• Utilisez des mots de passe forts et uniques pour protéger tous les comptes de l’entreprise. Plus ils sont complexes, mieux c’est. Assurez-vous que tous les mots de passe sont complexes et contiennent au moins 12 caractères. Faites en sorte que les identifiants de connexion partagés soient solides et n’utilisez jamais le même mot de passe pour plusieurs comptes.

• Mettez à jour régulièrement tous les identifiants de connexion et respectez des normes strictes en matière de mots de passe. C’est une démarche simple si votre organisation utilise la fonction Politique de mot de passe disponible dans NordPass : les organisations peuvent déterminer la longueur des mots de passe et la fréquence à laquelle ils doivent être changés.

• Utilisez toujours un système de stockage chiffré. Abandonnez pour de bon le stockage en clair des mots de passe : importez vos feuilles de calcul sous forme de fichier CSV dans NordPass et supprimez-les définitivement par la suite. Désormais, vous n’avez besoin que de votre gestionnaire de mots de passe pour trouver ce dont vous avez besoin.

• N’utilisez que des canaux chiffrés pour partager vos identifiants de connexion. Ne faites pas circuler vos carnets de notes et n’envoyez pas vos données de connexion par e-mail à qui que ce soit. Utilisez NordPass pour partager des données en toute sécurité et définissez vos autorisations d’accès préférées pour contrôler la manière dont ces données sont traitées.